PT-2022-9376 · Fresenius Kabi · Fresenius Kabi Vigilant Mastermed
Dr. Oliver Matula
+3
·
Publicado
2022-01-21
·
Atualizado
2022-08-30
·
CVE-2021-23207
CVSS v3.1
6.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Fresenius Kabi Vigilant MasterMed versão 2.0.1.3
Descrição
Um invasor com acesso físico ao host pode extrair informações confidenciais do registro e criar tokens JWT válidos para o aplicativo, o que lhe permite se passar por usuários arbitrários. Isso também poderia permitir a manipulação de filas e mensagens do RabbitMQ ao se passar por usuários.
Recomendações
Para o Fresenius Kabi Vigilant MasterMed versão 2.0.1.3, considere restringir o acesso físico ao host para minimizar o risco de exploração. Como solução temporária, restrinja o acesso ao registro e limite a capacidade de criar tokens JWT. Além disso, monitore as filas e mensagens do RabbitMQ em busca de atividades suspeitas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fresenius Kabi Vigilant Mastermed